多副本云数据审计方案修复MCAM安全缺陷

沙特国王大学学报一种改进的多副本云数据审计方案及其应用郑涂a，王旭安a，王伟东a，杜卫东b，王泽熙a，吕明ca中国Xi武警工程大学bXic中国北京解放军总医院医疗用品中心药剂科阿提奇莱因福奥文章历史记录：2022年8月11日收到2023年1月29日修订2023年1月31日接受在线预订2023年保留字：多拷贝数据完整性审计云计算A B S T R A C T云服务器中数据的安全性受到了极大的挑战，如何保证云服务器中外包数据的完整性云数据审计技术就是这样一种解决方案，它允许检查数据的完整性，而无需从云中检索它们。为了防止恶意攻击者侵犯单副本数据，Zhang等人在2020年提出了多副本云数据审计方案MCAM。然而，在他们的方案中，攻击者只能利用公共信息伪造完整性验证的证据，云服务器即使不存储任何数据也可以破坏完整性验证。在本文中，我们发现这些安全漏洞的MCAM和设计一个新的证据验证算法来修复它们。然后，我们提出了一个多副本云数据审计方案的基础上，我们的证据验证算法和MCAM。在安全性分析中，我们证明了我们的多副本云数据审计方案可以修复MCAM的安全缺陷。因此，我们的方案比MCAM更安全在性能分析中，我们证明了我们的方案比MCAM方案具有更高的通信效率最后，我们指出了我们的计划的一个潜在的应用版权所有2023作者。由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍云计算以其巨大的存储空间、低廉的开销、方便的数据共享和处理等优势得到了广泛的应用。（Du等人，2020; Qi等人，2020; Zhang等人，2020年a）。然而，云服务器中的外包数据存在许多潜在的安全问题。例如，2017年，Kromtech安全中心发生了信息泄露事件，泄露了50多万条数据，包括车辆轨迹、行驶路线和个人信息。2021年，汽车共享服务提供商CityBee遭到攻击，11万条个人数据泄露，其中包括用户电话号码和家庭住址等敏感个人信息。攻击者可以从泄露的信息中获取用 户 的 私 人 数 据 ， 例 如 驾 驶 路 线 、 用 户 身 份 或 其 他 信 息（Zhang et al. ，20 2 0 b; Huang et al 2017 a）。如何防止*通讯作者。电 子 邮 件地 址 ：tutu_2248@163.com（ Z.涂 ） ，wangxazjd@163.com（X.An Wang），forever_study0518@163.com（Z.Wang），yxgcbj@163.com（M. Lv）。沙特国王大学负责同行审查制作和主办：Elsevier数据泄漏和确保数据共享的安全是一个迫切需要解决的问题（Huang etal.，2017 b; Storck andDuarte-Figueiredo，2020）。在这些安全问题中，数据完整性是可靠云计算的核心问题，受到了广泛的关注。云数据审计是验证云中数据完整性的一种很好的技术。它为用户提供了有效的数据验证服务，而无需下载原始数据。为了保证存储在云服务器上的外包数据的可靠性和可用性，用户总是要求云服务提供商存储原始数据的多个副本，这些副本存储在不同的存储节点上。这样，当一些副本被篡改、破坏或丢失时，只要有完整的副本，就可以恢复原始数据。为了避免恶意云服务器声称存储了多个原始数据副本，而实际上并没有，从而欺骗用户，有必要设计一种多副本云数据审计方案，能够有效地验证多个原始数据副本的完整性1.1. 动机大量的数据在云计算平台上产生和处理，这为数据相关行业带来了很多便利。然而，在这些系统中，对正在处理的数据的正确性和完整性有很强的https://doi.org/10.1016/j.jksuci.2023.01.0211319-1578/©2023作者。由爱思唯尔公司出版代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.comZ. Tu，X. 王安、W. Du等沙特国王大学学报121ðÞðÞ×！..Σ.Σ平台数据完整性是指用户数据的特征与存储在云中的数据的特征数据完整性被破坏的情况有：（1）云端的外包数据被修改、破坏甚至丢失;（2）懒惰或恶意的云服务提供商未能存储原始数据的多个副本;（3）即使用户发出删除或更新请求，懒惰或恶意的云服务提供商也拒绝删除或更新其数据。因此，为了保证云服务器中数据的完整性和正确性，有必要设计一种多副本云数据审计方案来判断云服务提供商的行为，在数据被篡改时也能恢复原始数据。1.2. 我们的贡献我们指出了MCAM方案的安全缺陷，并设计了一种新的证据验证算法（Zhang et al.，2020年c）。然后，我们提出了一个改进的多副本云数据审计方案的基础上，我们的新的证据验证算法和MCAM。最后，我们比较了我们的方案与MCAM。我们表明，我们的计划可以防止恶意的对手伪造证据，并确保云服务提供商存储多个副本的用户1.3. 组织本文共分五个部分。在第一部分，我们陈述了我们的动机和贡献。第二部分介绍了相关的工作。在第三节中，我们给出了理解方案中主要使用的初步知识。在第四节中，我们介绍了模型和相关定义。在第5节中，我们回顾了原始方案。在第六节中，我们详细描述了改进的方案。在第7节中，我们比较了改进方案的开销原创方案在第八节中，我们介绍了我们的数据审计方案的应用场景。第九节是对本文的总结。2. 相关工作研究人员提出了许多方案来审计云中数据的完整性，实现安全的云存储。Ateniese等人（2007）首先提出了公共可证明数据会话（PDP）的概念。然后，他们引入了第三方审计器（TPA），并提出了一种动态审计方案来审计数据（Ateniese et al.，2008年）。在2010年，Wang等人（2010）提出了一个公共审计方案来保护云中外包数据的隐私。2010 年，Wang等人（2010 ）提出了 一种基于 Merkle Hash Tree（MHT）的公共审计方案，2011年，他们提出了一种隐私保护的公共审计方案（Wang et al2011）。在此之后，提出了实现动态PDP的几种方案（Chen等人，2013; Yan等人，2016; Sookhak等人，2017年，根据不同的模式。2008年，Curtmola et al.因此计算成本随着副本的数量线性增加。2021年，Zhou et al.（Zhouet al.，2021）提出了一种支持动态数据的多副本PDP方案，用于电子病历管理。基于零知识证明的审计方案被提出来增强审计过程的隐私性（Yu et al.，2016 a; Li等人，2018），但这些方案的计算和通信开销都很高。Yu等人（2016 b）提出了一种防止暴露私有密钥的方案。Wang et al.（2016）提出了一种基于身份的公共云审计方案。Jalil等人（2022）提出了一种基于在BLS上实现了批量审计和动态处理。Alrabea（2020）提出了一种改进的Boneh-Lynn-Shachame动态审计（MBLSDA）算法。 Chen等人（2022）提出了基于区块链的审计方案。提出了与其他领域相结合的相关云审计方案（Chen等人，2013;Cui等人，2018; Fu等人，2018; Shah和Prajapati，2020; Ghoubach等人，2021; Alrabea，2020）。2020年，张和林等人（Zhang et al.，2020c ） 提 出 了 一 种 基 于 IMB 树 的 多 副 本 动 态 云 数 据 审 计 模 型（MCAM）。该方案利用掩码率来控制随机掩码的产生，可以保持相邻副本之间相同数据块的差异，通过相邻副本的相似性来帮助实现快速传输。然而，他们的方案存在一些安全缺陷。也就是说，对手可以伪造证据来破坏完整性验证。在本文中，我们提出了一个新的方案来解决这个问题。我们的方案具有以下优点与基于Merkle树的MCAM方案相比，MCAM方案具有更高的效率。数据传输的开销很低。改进后的方案解决了方案的安全缺陷，具有更好的安全性，能够抵抗伪造证据攻击。3. 预备知识3.1. 乘法循环群元组a;p用于表示乘法循环群G，其中a是生成元，p是元素的数量G中的任何元素都是a的幂，例如G/4am m2Zp。H是将数据映射到G的散列函数，即Hf0;1gω！ G.3.2. 双线性映射双线性映射可描述为p;G1;G2;e.G1和G2是两个素数阶乘法群，它们的阶是一个大素数p。此数学工具用于验证完整的证书。定义映射关系e：G1G1G2满足以下性质：1. 双线性：对任何a;b 2 Z p和R;S 2 G1，有e Ra;S b<$eR; Sab。2. 非退化的：存在R;S2G，s，使得e∈R;S∈（Curtmola等人， 2008年）提出了第一个基于的RSA签名方案，它可以完全恢复1表示G2的单位元）。G2G2损坏的数据通过原始文件的完整副本。另外，方案中用户数据以密文形式存储，可以保护数据的隐私性。2012年，Barsoum等人（Barsoumand Hasan，2012）提出了一种多副本审计方案，可以识别损坏的副本，但该方案无法执行更新操作。2014年，他们提出了第一个基于改进的MHT的动态多副本PDP方案（Barsoum和Hasan，2014），但该方案无法抵抗替换攻击。2015年，Liu等人（Liu et al.，2015）设计了一种基于MHT的多副本结构来解决这个问题。然而，在他们的方案中，TPA必须逐个验证所有副本3. 可计算性：对于任何R; S 2 G1，都可以计算eR; S.3.3. IMB树IMB树是一种组织结构，它结合了Merkle树和B树的优点来描述数据块的逻辑和物理属性（Zhang et al.，2020年d）。IMB树从下到上由逻辑层和物理层组成。IMB树底部的节点是物理叶子节点。物理层之上的所有层都是逻辑层。IMB树的根是Z. Tu，X. 王安、W. Du等沙特国王大学学报122半j j ]½ð þÞ ]的一种8>电子邮件地址¼þ1þ2z：1/2S1;So]2Lt-Cy逻辑层。每层标记为L，其编号从底部到顶部增加。Cj表示L2及以上层中的节点，其中j是层的编号。节点包含相应的分层结构的信息。非叶节点至少有K=2个子树，其他节点最多有K个子树.逻辑层底部的节点是逻辑叶节点。所述逻辑叶节点的数据块数量小于k，按照块号依次存储连接。每个叶节点都有一个缓存物理叶节点的每个块包含关于通过聚合散列值的所有副本聚合哈希值的计算方法如下：mr1/4。r;h.z;Djr1jvr ;. . ;½FIDjrzjvr]CSP接收质询，并使用IMB树返回从质询块生成的证据。最后，TTP接收聚集的证据并验证其完整性，然后TTP将结果返回给用户。4.2. 相关定义4.2.1. 掩盖率MR是掩蔽率，并且它表示原始数据中改变的位的数目与相似替换操作之后的总位4.2.2. 重叠长度L是重叠长度，其指示重复的数目。在相邻位置之间的对应连续位置的选择FID是文件的标识符。r是块的编号 v是版本号。FIDrzv rz 存储在节点中，这意味着关于其拷贝数为z的块的Meta信息，块号为R。非叶节点中的元素的数量，表示为Si，与其子树中的元素的数量相同每个Si表示一个子节点，其中K=26i6K。4w=2层和下面的指针指向两个节点，这可以帮助来定位父节点父节点具有关于最大拷贝的此外，Si还包含如下信息：（1）子节点中包含的最大数据块的名称（2）子节点中块的散列值的重新聚集（3）叶节点的数目，表示为b。在逻辑层中，Cj的每个Si由每个Lt的对应子树的信息计算。节点的生成如下：ro; h L2; b; h r; h r1;.. . ; h ro; b; p; o 6 k1; t1Lt=1-Cj=1。Somw;h.Lt1;b;HS1;HS2;. . . ;HSoN;b;pN;o6k;t>1在同一个区块中编号的副本。4.2.3. 回溯距离D是回溯距离，其指示当相邻编号副本的相同块中的相同位置连续重叠时重叠区域的开始位置与结束位置4.2.4. 多拷贝相似替换用户将当前副本中出现在与前一个副本相同位置的数据块替换为L;D，这只能在lengthfL;Dg6lengthL时执行。两个数据块f ij 和f ij1 代表着相邻副本的数据块。数据块的指针是Pj和Pj1，它们都指向数据块的头部。k的初始值为1。相似性替换如下：首先，用户逐位比较Pj和Pj≠1。如果它们不同，则fij1 如果它们相同，则继续比较，直到最大值。最后，我们可以得到重叠长度Lk和回溯距离Dk。如果size≥Lk;Dk≥PLk，则重叠区域保留当t1、r o是最大复制的名称，其为与叶子节点中最大数据块的名称相同。 当t>1时，Somw是最大拷贝的名称。本文中的逻辑路径是指从IMB树的根节点到元素所在的叶子节点的逻辑路径4. 系统模型和相关定义4.1. 系统模型该方案的系统模型如图1所示。模型中有三个角色实体，包括用户、云服务提供者（CSP）和可信第三方（TTP）。主要结构包括两个步骤：迁移交互和审计交互。一般过程如下：迁移交互主要用于数据迁移。用户执行迁移交互以传输数据并准备完整性审计。首先，用户使用掩码技术生成接下来，用户为每个数据块计算相应的标签，并生成本地IMB树。最后，用户将IMB树发送到TTP进行数据试听。审计互动是一系列互动，以核实三个实体进行的外包数据的完整性。首先，用户向TTP发送请求以验证数据的完整性。TTP从用户处获取审计请求，然后生成审计质询，并将其发送给CSP。不改变，否则将长度为Lk的数据替换为Lk;Dk，并且k自动递增1。如果Pj和Pj1到达数据块的末尾，则替换结束，否则返回到开头。在相似性替换之后，文件fij1被划分为如下：：L1;D1：L2;D2：L3;D3：L4;D4：L5;D5：在上述过程之后，完成所有副本的相似性替换。CSP接收替换结果并将其恢复为原始结果。然后CSP根据恢复结果计算IMB树。通过相似性替换压缩了副本的大小，减少了数据传输的开销。4.2.5. 局部置信率LCR是试听的局部置信率，它决定了受质疑的数据块的数量。模型中主要涉及的算法的形式化定义如下：1. 关键词：G！. 关键字密钥生成功能，生成公钥和私钥。选择素数r和群G的代g以生成私钥Stkey<$r和公钥Ptkey<$gr。2. Rmask Gengluc; MR; B; Sd1个！ RMSZ. Tu，X. 王安、W. Du等沙特国王大学学报1232½]FGFig. 1. mcam的系统模型RmaskG en表示掩码生成函数，其生成用于多副本相似性替换过程的掩码集合。c是掩码集的数量。MR是掩模率。B是掩码长度。Sd1是随机种子。基于c、MR、B和Sd1生成掩码集RMS。3. 重复的Ge nnfi;RM S！ .fij;j2½1;c]DuplicationGen是指复制生成功能，它利用掩码集生成副本，并利用多副本相似性传输实现数据迁移。 基于数据块fi和随机掩码集RMS生成副本fij，其中j1;c和c表示副本的数量。4. 谢谢FID;fij;vi;g;H;S tke y！ .TFijTagG en表示标签生成功能，它生成IMB树和数据块的相应标签它可以生成对应的标签Tf ij 对于每一个副本。FID就是文件标识符v i 是版本号。 H是G的散列函数。私钥Stkey用作签名密钥。5. Challenge Genn; LCR！CsetChallengeG en表示用于生成质询数据块集合的质询生成算法。当给定数据块个数n和局部置信度LCR时，可生成相应的挑战集Cset。6. 证据G.Cset; Rd; Sd2！ AEEvidenceGen是指证据生成算法，可用于生成数据块的聚合证据。它可以使用挑战集Cset、随机函数Rd和随机种子Sd2生成相应的证据E和支持证据AE。7. E verifyE; AE！真;假EVerify是证据验证算法，用于验证CSP发送的聚合证据，并返回被挑战的数据块的验证结果。它可以验证证据E和支持证据AE，并返回验证结果。如果返回True，则验证通过;否则，验证失败。8. 添加新的;第二点！真;假Add是数据相加算法。它可以根据FID和位置点的信息将新的数据块fnew插入到给定的位置，并返回结果。9. 更新. 去你的！真;假Update是数据更新算法，它可以通过新的数据块fup，FID和相应的标签i来更新数据，并返回最终结果。10. 删除FID;我删除！ 真;假Delete是数据删除算法，可以使用FID和标签i删除数据，并返回最终结果。5. MCAM计划5.1. 迁移相互作用迁移交互中涉及的过程和算法如图2所示。迁移交互为数据审核做准备。1. 关键词：G！. 关键字给定一个大素数p，用户选择一个小于p的整数t。用户指定一个乘法循环群G，其中g是生成元。用户选择St密钥1/4t作为私钥，并计算Pt密钥1/4gt作为公钥。Pt密钥被发送到TTP和CSP用于数据试听。2. Rmask Gengluc; MR; B; Sd1个！ RMS用户生成掩码集。原始数据文件分为n个块，如f1;f2;f3;：;fn。c是副本的数量，并且它表示掩码集的元素的数量。B是代码的二进制长度，即每个数据块中的位数Z. Tu，X. 王安、W. Du等沙特国王大学学报124XX. X XPC CQn1-q-lGIj我Ij我JIjJJ[Cset½i]询问集和数据块的数目是i。所有副本共享qnnn1-qC尺寸Cset1/4-n1-qC尺寸Cset2l¼1第1Ij-1/1IMB树第1半]j图二. 移徙互动。随机掩码集合RMS从MR生成，并且其集合的随机种子Sd1存储在用户中。3. 重复的Ge nnfi;RM S！ .fij;j2½1;c]2. 证据GenCset; Rd; Sd2！AECSP运行EvidenceGen生成证据。证据E基于质询集Cset、伪随机菲伊杰fi;j¼1RMS1/2i] 1/2j]XORfij-1;j>1ð1Þ函数Rd和随机种子Sd2，以及IMB树的路径，IMB树由两部分组成：逻辑路径和物理路径。用户使用fi和RMS生成一系列副本，c表示副本的数量，与算法2中的相同。式中，相邻拷贝的相似性为α1-MRα。4. 标签，标签;FID;f;v;g;H！ .TfβAE是支持性证据。CSP使用伪随机函数Rd和随机种子Sd2来生成随机数sRd≤Sd2≤的集合。RdSd2Cset½i]j 是拷贝数为j，块数为i的数据块的随机数，即tij 1/4路200米。CSP根据以下内容生成证据集：挑战开始了将文件标识符FID、数据块fij、版本号vij、生成器g和散列函数H作为输入，用户使用TagG en来计算数据块的标签Tfij，如公式（2）所示：电子邮件地址;日志。fCset½i]j;lcCset½i]4在公式（4）中， 表示挑战集的数据块，其副 本 数量为j，数据块数量 为i。TF nH.FID;v;i标记F ioSt关键字200表示编号为j的副本的逻辑路径，在计算所有数据块的标签之后，用户计算本地IMB树并将其发送到TTP。共同的逻辑路径。对于同一叶子中的块，原始数据的逻辑路径是其名称，其他副本的逻辑路径是1。5.2. 审计互动如图3所示，审计交互包括质询尺寸1000mmCE¼tijω。ECset½i]j：phyu联系我们证据生成、证据生成和证据核实三个步骤。尺寸1000mmCω散列我的天！ð5Þ联系我们1. Challenge Genn;LCR！ CsetTTP运行ChallengeGen以通过对要被质询的数据块进行采样来生成经审计的数据块的集合Cset然后，它向CSP发送Cset和伪随机种子Sd2。Cset表示受挑战的数据块的集合，n表示数据块的数目，q是受挑战的数据块的损坏率，size_Cset_n是受挑战的数据块的大小，并且size_Cset_n由公式（3）确定。CSP生成随机数u并通过公式（5）计算证据E。此外，支持evidenc eAE¼e. .你好。证据验证; AE！ 真;假在此过程中，TTP将来自CSP的证据E和支持证据AE作为输入来计算验证结果。TTP生成随机数t的序列，使用qnL规格CsetCset-lC尺寸CsetSD 并使用Cset来计算E01/4Q大小TFTIJ。然后，它叫-l¼1n<$1-q<$N3计算 聚合的逻辑证据LE1/41个尺寸Cset-1l¼0阿利哈斯h.PsizeCsetPcE Cseti：log_i。LE由TTP计算，（¼LCR¼¼n-1Z. Tu，X. 王安、W. Du等沙特国王大学学报125QQ。¼B.ΣðÞQ我. YYK. Y YLE¼KðÞ.t！ ！eE0;gLE-1假公式（5）和支持证据eAE¼e。.PTKEYYOUΣHFID;vik;ijijgEω;Pt密钥1/1第1页Cset½i]j：K>公式（8）。最后，CSP可以伪造满足公式（7）的证据E;AE以通过验证。0.ΣQ.Σ0“#1e E;g>8.尺寸eQCsetQce E0;g乐.特图三. 审计互动。！e.E0;gωAEωLE¼B.> 1l¼1第1页;ik;jJ;keyð6ÞAEωBeE0;gTTP根据公式（6）验证证据。 如果证据验证返回True，表示审核的数据块完整性良好;否则，表示存在问题数据块。最后，TTP将验证结果返回给用户。5.3. 安全问题通过对MCAM方案的研究，发现其存在一些安全缺陷。一种是攻击者可以利用公共信息伪造证据来破坏完整性验证。二是CSP即使不存储任何数据也能通过完整性根据ChallengeG en，如果数据的损坏率blocks为q，则置信率为LCR。当数据块被修改时，CSP可以计算根据接收到的Cset计算相应的E。然后，值B可以计算。与Cset对应的对应LE-1和E0也可以基于公共信息来计算。给定B2G，eE0;g2G，CSP可按公式（8）计算AEω.因此，CSP可以伪造证据Eω;AEω时，用户TTP接收证据并使用Eq. （七）、假设公式的左边是LSH，右边是RSH。LSH¼e E0;gωAEωLELE-1乐1/4e.E0;gω@e. E0;g询问数据块满足公式（3）。TTP向CSP发送所生成的质询集Cset和伪随机种子Sd2在证据G_en中，CSP生成逻辑路径集合和物理路径集合的对应证据，以将所述逻辑路径集合和物理路径集合的对应证据发送到CSP。1/4e.E0;g<$ω“B¼Bð9Þ挑战赛CSP计算证据E，;g..尺寸eYCsetYc.不！TTP接收EEE;AEEEE。然后它计算出l¼1j¼ 1E0¼尺寸1000Cset1000cj¼1TFTIJJ以及聚合逻辑EV 1-尺寸范围CsetCRSH¼eH.FID;vi;ijtijgEω;P tkey！登斯LE有H。PsizeCsetPcE原木TTP使用公式（6）来l¼1第1页验证质询数据块的完整性。根据上述信息，具体攻击过程如下：根据等式（9）、我们知道LSH RSH。伪造的证据可以通过验证。这意味着CSP可以伪造证据toe.E0;g尺寸范围CsetCωAE1/4el¼1j¼1H.FI D;vi i;ijtijgE;Ptkey！ð7Þ修改.此外，CSP还可以伪造证据通过验证，当数据被删除，用户在原始的MCAM方案中，数据的完整性是通过检查是否Eq. （7）是否持有。选择发送审计请求，CSP随机选择Eω并计算对应的值B。然后，CSP计算LE-1和E0，对应支持证据AEω可以ωAEð8Þ1/4e¼#Z. Tu，X. 王安、W. Du等沙特国王大学学报126计算B¼e. QsizeCsetQcH.FID;v i;ijtijgE;Ptkey，攻击者可以ω ωl¼1得到公式第1Z. Tu，X. 王安、W. Du等沙特国王大学学报127[Cset½i]. Y Yn.科沃岛YY. Y Yn.科沃岛.Σ关>e E0; g ω ðAEÞLE¼eTfij;gJHFID;v;igfij键ωij;gHFID;v;igfij第1页Cset½i]jG（c）快！ðÞωPt第1页Cset½i]j在ChallengeGen中，Cset表示挑战数据集HFID;v ij;ijj;gS测试键ω e G1/1j1ijij;gS测试键¼1/1j1ij;关1/1[1/1Cset½i]j证据AE¼Pt密钥。我JIjJJl¼1第1Ij1/1第1半]jl¼1第16. 基于MCAM的改进方案为了解决上述安全缺陷，提出了一种基于MCAM的改进方案。此外，由于我们的方案使用IMB树，所以它也支持数据的动态更新，如张等人。（2020c年）。我们方案中的迁移交互过程如下：TTP根据公式（11）进行证据验证。如果证据验证返回Ture，则意味着被审计的数据块的完整性良好;否则，则意味着存在一些有问题的数据块。最后，TTP将验证结果返回给用户。6.1. 正确性分析用户在本地生成一对私钥和公钥，.Σ.尺寸和尺寸不！我l¼1第1uω有h。PsizeCsetPcE：logωPt 关其被发送到TTP用于完整性审核。用户生成模板集完成多副本相似性替换。.尺寸和尺寸 n.ΣoSt不！uω有h。PsizeCsetPcE：log我是说。CSP接收数据并恢复拷贝。则l¼1第1页IjJ关键.尺寸和尺寸 n.Σot所涉及的算法与原方案相同。IjJ！uω有h。PsizeCsetPcE关：log审计互动的新流程如下：尺寸范围CsetCtHFID;v ij;ij尺寸范围CsetCωgf ijωtij;gS t钥匙！l¼1第1页l¼1第1页1. 挑战enn LCRCSETuω有h。PsizeCsetPcE关：log.尺寸和尺寸 n.我也是！. PsizeCsetPcFωt数据块，n表示数据块的数量，q是损坏的被挑战的数据块的速率是局部置信率LCRuω有h。PsizeCsetPcE：log在试听中，size=Cset=是质询数据块的大小尺寸范围CsetCtHFID;v ij;ijj; Ptkey！ω E并且它应该满足公式（3）。TTP生成一组l¼1第1页通过对要检查的数据块进行采样来检查数据块Cset。然后，它向CSP发送Cset和伪随机种子Sd22. 证据G.Cset; Rd; Sd2！ AE证据E由挑战集Cset、伪随机函数Rd和随机种子Sd2生成，其由物理部分和逻辑部分组成：[医]小儿麻痹症 [fCset½i]j;lcCset½i]AE为支持性证据。CSP使用伪随机函数Rd和随机种子Sd2来生成随机数集合sRd=Sd2，Rd=Sd2=Cset1/2i]j 表示拷贝数为j的数据块的随机数，isi，就是tij 1/4路200米。CSP生成证据集上述公式表明，我们的方案可以保护外包数据的完整性。6.2. 安全分析定理1. TTP证据：响应于质询请求，CSP生成证据E和支持证据AE。然后将生成的证据发送给TTP进行验证。挑战数据fCset½i]j 由CSP随机选取的u设盲，其信息隐藏在AE中。如果TTP可以通过AE/Ptuu的值，则意味着TTP可以求解离散对数-根据如公式（4）所示的挑战集合来确定所述挑战集合。算术问题（DLP）。由于DLP是一个难题，TTP也就是说，TTP无法获得相关信息-Ee。gP尺寸tωE：phy PTΣ根据证据E和支持性证据对审计数据进行审查，CSP发送的证据AEuω有h。PsizeCsetPcE关：logCSP生成随机数u并通过公式（10）计算证据E。CSP计算支持u证明：TTP接收IMB树和标记TFnH.FID;v;i键 由用户生成。关键St3. 证据验证; AE验证！真;假TTP将来自CSP的证据E和支持证据AE作为输入，以计算验证结果。它首先产生Sd为2的随机数t的序列，然后计算用于生成标签的数据隐藏在TTP中。如果TTP能够恢复fij，则必须存在求解DLP的算法B。由于DLP是一个难题，TTP也就是说，TTP不能通过利用IMB树和块的标签来恢复原始审计数据。latesE0¼QsizeCsetCTftij，最后计算聚合逻辑证据LE1/4具有h。PsizeCsetPcECseti：使用标签集记录。>8.sizeQCse tQc.不！E乐验证证明：假设有恶意CSP可以伪造证据，e.E0gωAE>1/4el¼1第1页HFID;v ik;ijij;Pt键ω！.真通过验证。基于改进的方案，设计如下：;>.sizeQCse tQc.快！假的挑战者C生成一对的私人和公共–ωE。Σ：l¼1K第1页凯斯 街关键J计算用于构建IMB树的每个数据块的标签，1/1J第11/4eωPt第1页Cset½i]j1/1CSP使用恢复的多副本数据构建IMB树。的1/4eij;gS测试键ωPt1/1l¼1第11/11/4eωPt键1/1第1页Cset½i]jCset½i]jωPtð10Þ定理2. TTP不能利用IMB树和块的标记来关定理3. 的 CSP 不能 锐意 证据妥协的Z. Tu，X. 王安、W. Du等沙特国王大学学报128;Pt关键. 对手A可以向C询问以下 证据：ð11Þ一些数据块，C将返回相应的证据到. 然后，C生成挑战chal1/2Cset;Rd;Sd2/2，并且Z. Tu，X. 王安、W. Du等沙特国王大学学报129ðÞuYYTfYY.Σ-ΣΣBe E0;gωPt键1/1[1/1Cset½i]jl¼1第1页IjJ关Mm11m22米·· ··mmm唯一解f;f;f;：：：;f可以计算出。在式l¼1第1K乐ω. YYðÞ¼（14）未知数随听音次数m而增加。 因为将其作为有效证据发送给A。A计算证据E;AEE并将其返回给C。C通过公式验证证据如果等式成立，这意味着A赢得了游戏。显然，A返回的证据可以通过我们方案的验证。因此，如果A能够赢得游戏，则意味着CSP可以使用A伪造证据并通过验证。分析：如果A返回的证据E ; AE能够通过验证，根据公式，我们可以得到：定理5. 该改进方案可以防止线性泄漏。证明：TTP完成审计验证。同一块可以重复审计。聚合证据数据块的系数是针对每次试听随机生成的，并且随机系数由CSP和TTP共享在我们的改进方案中。TTP生成每个挑战块的证据可以防止CSP产生固定的随机序列，.- 是的 阿利哈斯h.PsizeCsetPcEE：log数字来模拟综合证据。此外，证据E包括物理数据证据和逻辑数据证据。1/4e.QsizeCsetQcnH.FID;v;iotij;PtΣ丹斯在相同的数据块被重复审计m次可获得以下信息：如果对手想要伪造证据，就必须获取E0的相关信息，而E0的安全依赖于信任，8>：E1/4aF af···一F拉乌ωLE-E0¼l¼1JIj第1页fikey·t ijM表示系数矩阵的秩，并且M表示发送相应的增广矩阵。 如果M等于M-，则意味着关于质询块的信息可能被泄露。尺寸范围CsetC n.Σ¼l¼1第1页oSt尺寸范围CsetCl¼1j¼1nH.FID;v ij;ijgf ij ot！St键系数矩阵和增广矩阵的秩保持相同，因此不能求解系数因此，攻击者无法获得有关原始数据的任何信息。如果有一个概率多项式时间（Probably Polynomial-Time，PPT）攻击者A可以设计一个算法P来计算E0的值，则可以设计一个算法B来求解基于A的DLP。因为DLP是困难的，所以没有一个PPT对手A可以计算出E0，而证据E因此，没有一个PPT对手A可以赢得比赛，这意味着没有一个PPT对手A可以伪造证据通过验证。综上所述，CSP定理4. 改进后的方案能够抵抗上述伪造攻击。证明：我们改进方案的审计过程如下：TTP生成审计数据块集Cset。然后，它将挑战集Cset和伪随机种子Sd2发送到CSP。 计算相应的证据集作为ECset½i]j 物理学fCse t½i]j;l cCse t½i]. CSP计算相应的辅助证据E-和辅助证据E-E。数据的完整性是通过检查是否方程验证（7）保持。袭击者7. 性能分析7.1. 计算开销我们使用表1中常见操作的基准（Ruifeng et al.，2022年）。它们被用来计算我们的方案和MCAM的开销。我们的方案的计算成本与表2中的MCAM方案进行了比较。Hash是Zp的哈希函数。H表示Hf0;1gω！ G. Addz和AddG分别表示Zp的加法运算和GMulZ和MulG分别表示Zp的乘法运算和G的乘法运算。EG和EZ分别表示G的幂运算和Zp的幂运算。 C是拷贝数。S表示大小Cset的值。pair表示双线性映射。如图4、5中，比较了两种方案中证据生成和验证的开销。可以看出，我们的方案的证据验证的开销略高于MCAM。7.2. 通信开销计算B的值-作为B- 1/4e. QsizeCsetQcH.FID;v i;ijtij;PtkeyωE-根据公共信息。 取f 0的任意伪造值，记为。E0<$ω，攻击者可以计算：我们的方案利用掩码率来压缩拷贝大小，减少迁移交互中的存储开销，例如，E0ω;g.-ωωAE¼B表1操作的时间开销. -ωð13Þ操作时间成本（ms）AE¼-BeE0ω;g添加z0.0014因为eA-EωRG，A-Eω的值-1不能通过计算添加G0.1423MulZ0.0015MulG2.9753EG1.2546攻击者无法伪造证据.eE0;g综上所述，我们的方案可以抵抗伪造证据攻击，解决了原方案中存在的安全问题EZ0.0536哈希值0.0002H2.0173对5.8453IjMMHFID;vij;ijð12ÞGJ123M¼Z. Tu，X. 王安、W. Du等沙特国王大学学报130ðÞ表2审计过程的计算开销。原MCAM方案8. 应用移动车辆，如紧急医疗车辆，公共汽车，轿车，卡车，不断产生大量不同类型的数据，证据生成证据核实（S*c +1）MulZ+（2S*c-2）AddZ+Hash +3EG + MulG + pair2S*c*MulG + 2S*c*EG + EZ + Hash+S*c*H+（S*c-1）加Z+2对（S*c + 1）MulZ+（2S*c）AddZ +Hash+EG+对(2S*c-2）MulG+（2S*c+ 2）EG +Hash+S*c*H+（S*c-1）添加Z+2对包括移动轨迹、交通信息和多媒体数据。车联网以云计算为基础，将车辆连接到互联网上，实现相互通信和协同采集，有助于车辆之间的信息交换和数据共享。在图6中，车联网（IoV）收集并传输车辆之间的数据，这可以帮助规划最佳路径并实现快速车辆调度。如图 7、传统车联网的结构有三层：感知层、传输层和应用层。感知层由车载设备、路端设备、这可以减少数据传输期间的通信开销迁移过程因此，在迁移交互中，两种方案的通信开销在审计交互中，我们的方案的证据主要是G的证据，而MCAM的证据主要是0; 1的证据，因此我们的方案中的证据的数据长度比MCAM短因此，在我们的方案中审计交互的通信开销小于MCAM。综上所述，我们的方案的计算开销略高于原方案。通信开销小于原始MCAM方案。第三方平台设备等。它主要用于收集车辆本身和周围交通环境的信息传输层主要是指用于通信的各种方法、技术和设备，可以传输感知层收集的信息。应用层将采集到的数据在云平台上进行存储和处理，为用户提供服务。然而，在传统的车联网模型中，存在许多关于数据完整性的问题（Molina-Masegosa等人，2020; Zhang等人，2020年d）。例如，云中的外包数据可能会被修改、破坏甚至丢失;云服务提供商见图4。 证据生成的开销。图五. 证据核查的开销。Z. Tu，X. 王安、W. Du等沙特国王